通用的inline hook,

最新推荐文章于 2025-06-03 12:50:48 发布
原创 最新推荐文章于 2025-06-03 12:50:48 发布 · 867 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #byte #string #object #function #patch

本文介绍了一种内核级设备对象钩子技术,通过修改内核中的函数指针来实现对特定设备对象的访问控制。具体展示了如何对`IoGetDeviceObjectPointer`函数进行重定向,并插入自定义的日志打印功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

#include "ntddk.h"
#include "ade32.h"

#define KERNEL_SEG        0x0008

UNICODE_STRING ObjPtrName = { 0 };
typedef void (*DBGPRINT)();
DBGPRINT MyDbgPrint = NULL;

typedef struct patch_info
{
    int patch_len;
    BYTE org_bytes[32];
    PVOID org_func_addr;
    PVOID new_func_addr;
}PATCH_INFO, *PPATCH_INFO;

ULONG g_uCr0 = 0;

void WPOFF()
{
    ULONG uAttr;
   
    _asm
    {
        push eax;
        mov eax, cr0;
        mov uAttr, eax;
        and eax, 0FFFEFFFFh; // CR0 16 BIT = 0
        mov cr0, eax;
        pop eax;
        cli
    };
   
    g_uCr0 = uAttr;
   
}

VOID WPON()
{
    _asm
    {
        sti
        push eax;
        mov eax, g_uCr0;
        mov cr0, eax;
        pop eax;
    };
}

NTSTATUS PatchCommonDispatch(PDEVICE_OBJECT DeviceObject, PIRP Irp)
{
    Irp->IoStatus.Status = STATUS_SUCCESS;
    Irp->IoStatus.Information = 0;
    IoCompleteRequest(Irp, IO_NO_INCREMENT);
    return STATUS_SUCCESS;
}

PVOID GetKernelFuncAddr(PCHAR func_name)
{
    ANSI_STRING ansi_name;
    UNICODE_STRING uni_name;
    PVOID func_addr;
   
    RtlInitString(&ansi_name, func_name);
    RtlAnsiStringToUnicodeString(&uni_name, &ansi_name, TRUE);
   
    func_addr = MmGetSystemRoutineAddress(&uni_name);
   
    RtlFreeUnicodeString(&uni_name);
   
    return func_addr;
}

BOOLEAN IfDirty(PVOID func_addr, CHAR* startbytes, int len)
{
    PCHAR addr = (PCHAR)func_addr;
    int i = 0;
   
    while(i < len)
    {
        if(addr[i] != startbytes[i])
            return TRUE;
        i++;
    }
   
    return FALSE;
}

__declspec(naked) NewStubForIoGetDeviceObjectPointer()
{
    PUNICODE_STRING ObjectName;
   
    _asm
    {
        nop
        nop
        nop
        nop
        nop
        push ebp
        mov ebp, esp
        sub esp, __LOCAL_SIZE
        mov edi, [ebp+8]
        mov ObjectName, edi
    }
       
    _asm mov edi, DWORD PTR DbgPrint
    _asm mov MyDbgPrint, edi
   
    //MyDbgPrint("object name %ws/n", ObjectName->Buffer);
    //_asm add esp, 8
   
    if(RtlCompareUnicodeString((PUNICODE_STRING)ObjectName, &ObjPtrName, TRUE) == 0)
    {
        _asm
        {
            mov esp, ebp
            pop ebp
            mov eax, 0xC000000D
            ret 10h
        }
    }
   
    __asm
    {
        mov esp, ebp
        pop ebp

        //must declare this tag for insert orginal function's starting bytes here
        _emit 0xaa
        _emit 0xaa
        _emit 0xaa
        _emit 0xaa
    }
}

int GetPatchLength(PCHAR func_start, int max_need_len)
{
    int one_oplen = 0;
    int actual_oplen = 0;
    struct disasm_struct dis;
   
    while(actual_oplen < max_need_len)
    {
        one_oplen = ade32_disasm(func_start, &dis);
        func_start += one_oplen;
        actual_oplen += one_oplen;
    }
   
    return actual_oplen;
}

BOOLEAN UnpatchX(PPATCH_INFO pach)
{
    if(pach->patch_len &&
        pach->org_func_addr)
    {
        RtlCopyMemory(pach->org_func_addr, pach->org_bytes, pach->patch_len);
        return TRUE;
    }
   
    return FALSE;
}

BOOLEAN PatchX(PCHAR func_name, PVOID new_func, int new_func_len, PPATCH_INFO pach)
{
    int i = 0;
    BOOLEAN bFoundTag = FALSE;
   
    WPOFF();
   
    //get original function's address
    pach->org_func_addr = GetKernelFuncAddr(func_name);
    if(pach->org_func_addr)
    {
        pach->patch_len = GetPatchLength(pach->org_func_addr, 7);
       
        pach->new_func_addr = (PVOID)ExAllocatePoolWithTag(NonPagedPool, new_func_len, ' kdD');
        if(pach->new_func_addr)
        {
            RtlCopyMemory(pach->new_func_addr, new_func, new_func_len);
           
            for(i = 0; i < new_func_len-(pach->patch_len + 7); i++)
            {
                //find tag for insert orginal function's starting bytes
                if(((BYTE*)new_func)[i] == 0xaa &&
                    ((BYTE*)new_func)[i+1] == 0xaa &&
                    ((BYTE*)new_func)[i+2] == 0xaa &&
                    ((BYTE*)new_func)[i+3] == 0xaa )
                {
                    bFoundTag = TRUE;
                    break;
                }
            }
           
            if(bFoundTag)
            {
                //save original function's starting bytes for later Unpatch
                RtlCopyMemory(pach->org_bytes, pach->org_func_addr, pach->patch_len);
               
                //modify new_func to jmp to original function
                RtlCopyMemory((BYTE*)pach->new_func_addr + i, pach->org_func_addr, pach->patch_len);
                ((BYTE*)pach->new_func_addr + i + pach->patch_len)[0] = 0xea;
                *(ULONG*)((BYTE*)pach->new_func_addr + i + pach->patch_len + 1) = (ULONG)pach->org_func_addr + pach->patch_len;
                *(USHORT*)((BYTE*)pach->new_func_addr + i + pach->patch_len + 5) = KERNEL_SEG;
               
                //modify original function to jmp to new_func first
                ((BYTE*)pach->org_func_addr)[0] = 0xea;
                *(ULONG*)((BYTE*)pach->org_func_addr+1) = (ULONG)pach->new_func_addr;
                *(USHORT*)((BYTE*)pach->org_func_addr+5) = KERNEL_SEG;
               
                return TRUE;
            }
            else
            {
                ExFreePool(pach->new_func_addr);
                pach->new_func_addr = NULL;
            }
        }
    }
   
    WPON();
   
    return FALSE;
}

NTSTATUS PatchDeviceControl(PDEVICE_OBJECT DeviceObject, PIRP Irp)
{
    PIO_STACK_LOCATION irpSp = IoGetCurrentIrpStackLocation(Irp);
    WCHAR* DeviceName = L"//Device//Harddisk0//DR0";
    UNICODE_STRING uni_name;
    PDEVICE_OBJECT TempDeviceObject;
    PFILE_OBJECT TempFileObject;
    NTSTATUS status;
    PATCH_INFO pach;
   
    switch(irpSp->Parameters.DeviceIoControl.IoControlCode)
    {
    case 1:
        RtlZeroMemory(&pach, sizeof(PATCH_INFO));
        PatchX("IoGetDeviceObjectPointer", NewStubForIoGetDeviceObjectPointer, 256, &pach);
       
        RtlInitUnicodeString(&uni_name, DeviceName);
        status = IoGetDeviceObjectPointer(&uni_name, FILE_READ_DATA, &TempFileObject, &TempDeviceObject);
       
        //UnpatchX(&pach);
        //status = IoGetDeviceObjectPointer(&uni_name, FILE_READ_DATA, &TempFileObject, &TempDeviceObject);
        break;
    }
   
    return PatchCommonDispatch(DeviceObject, Irp);
}

void PatchUnload(    PDRIVER_OBJECT DriverObject)
{
    UNICODE_STRING uni_symbolic;
    IoDeleteDevice(DriverObject->DeviceObject);

    RtlInitUnicodeString(&uni_symbolic, L"//DosDevices//doptr");
    IoDeleteSymbolicLink(&uni_symbolic);
}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
{
    PDEVICE_OBJECT DeviceObject;
    WCHAR* DeviceName = L"//Device//doptr";
    WCHAR* SymbolicName = L"//DosDevices//doptr";
    UNICODE_STRING uni_name, uni_symbolic;
    NTSTATUS status;
    int i;
   
    RtlInitUnicodeString(&ObjPtrName, L"//Device//Harddisk0//DR0");
   
    for(i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++)
        DriverObject->MajorFunction[i] = PatchCommonDispatch;
   
    DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = PatchDeviceControl;
    DriverObject->DriverUnload = PatchUnload;
   
    RtlInitUnicodeString(&uni_name, DeviceName);
    status = IoCreateDevice(DriverObject,
                                0,
                                &uni_name,
                                0,
                                0,
                                FALSE,
                                &DeviceObject);
    if(NT_SUCCESS(status))
    {
        DbgPrint("%ws/n", SymbolicName);
        RtlInitUnicodeString(&uni_symbolic, SymbolicName);
        status = IoCreateSymbolicLink(&uni_symbolic, &uni_name);
    }
   
    return status;
}
使用内核三步实现InlineHook的详细分析
07-06
且这种深层次的inlineHook不具有通用性。稳定性也是问题。本文讨论的是具有通用性的两类inlineHook的实现.   Inlinehook原理:解析函数开头的几条指令,把他们Copy到数组保存起来,然后用一个调用我们的...
Vb6 InLineHook(通用版)
03-11
【标题】"Vb6 InLineHook(通用版)" 描述了这是一个使用Visual Basic 6(Vb6)开发的API钩子实现,名为InLineHook,它具有跨平台兼容性,支持Windows XP、Windows 7、Server 2003以及Windows 2000操作系统。...
通用Inline Hook代码
04-30 1844
#include "inlinehook.h"typedef struct _INLINE_HOOK_ITEM{    PBYTE    HookAddress;        //inlinehook 的位置    DWORD    OrgBytesSize;        //    //PBYTE    OrgBytes;            //原始函数字节    PBYTE    Ho
ring3 & ring0 通用InlineHook代码
08-28 1139
 作者: cooldiyer一晚上的战绩, 希望尊重版权, 写一个ring3下的例子,ring0下就不写了,很简单 复制内容到剪贴板 代码:#include #include "InlineHook.h"typedef void (__stdcall *__Sleep)(DWORD);__Sleep realSleep = NULL;VOID__stdcallMySleep(IN DWOR
LINUX加载一个可执行程序并启动的过程
mabin2005的专栏
06-02 1017
原创作品转载请注明出处 + 《Linux内核分析》MOOC课程http://mooc.study.163.com/course/USTC-1000029000 作者:严哲璟 以shell下执行ls命令为例介绍Linux通过fork()和execve()类函数的执行程序启动过程: 父进程为shell,命令为ls,目录为/bin/ls 当输入ls时,shell进程通过fork()创建一个新的子进程,fork()进程复制代码,以及新建堆栈等之前已经说明,子进程有机会执行的时候,在ret_from...
4.2 Inline Hook 挂钩技术
优快云
09-14 5220
InlineHook 是一种计算机安全编程技术,其原理是在计算机程序执行期间进行拦截、修改、增强现有函数功能。它使用钩子函数(也可以称为回调函数)来截获程序执行的各种事件,并在事件发生前或后进行自定义处理,从而控制或增强程序行为。Hook技术常被用于系统加速、功能增强、开发等领域。本章将重点讲解Hook是如何实现的,并手动封装实现自己的Hook挂钩模板。
Inline Hook
weixin_44711063的博客
03-11 3011
inline hook 说明 IAT hook 还是需要有先行条件的,就是导入表里面得有所使用函数的地址。 导入表里面没有被调函数的地址情况: 被调函数与调用函数在同一模块 直接自己使用LoadLibrary,GetProcAddress来加载函数 对于这种无法用IAT hook 的情况,我们可以使用inline hookinline hook 本质:就是jmp到我们需要执行的代码,执行完后再jmp回来。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Y5eG0Wbm
inline hook的实现
威化饼的一隅
05-07 1243
思路   对于目标运行中的EXE程序,如notepad.exe,使用inline hook劫持其kernel32.dll中的writefile函数: 找到notepad.exe的进程PID,通过进程PID获取进程模块,通过进程模块获取程序加载的imagebase。 在获得imagebase后,就可以像类似分析PE文件一样,先找PE头,然后到可选头,里面读取data directory的第2个成员...
Android PLT hookInline hook
05-11 888
Android Native 函数 Hook 技术是一种在应用运行时拦截或替换系统或自身函数行为的手段,常见实现包括 PLT HookInline Hook。PLT HookInline Hook 是两种不同层次和机制的函数 Hook 技术,常用于逆向工程、安全分析、壳保护或热修复等场景。
深入理解VC inline hook实例
weixin_42601547的博客
06-03 782
与此同时,失败的案例同样值得我们关注。在一些失败案例中,开发者可能会因过分依赖inline hook而忽视了程序原有的安全机制,导致引入更多的安全漏洞。例如,有的开发者在没有充分测试的情况下对系统关键函数进行了hook,结果触发了系统的防作弊机制,反而影响了软件的正常使用。从这些失败的案例中,我们可以得到的教训包括:确保有足够的知识和经验来使用inline hook,不要过分依赖hook技术,而应将它作为多种安全手段中的一种。
inlinehook 看这一篇
01-09 4224
inlinehook 代码实战
精选_实现32位和64位系统的Inline Hook API_源码打包
03-09
Inline Hook API 是一种在软件开发中用于拦截和修改程序行为的技术。它主要通过在目标函数的入口处插入自定义代码(通常称为钩子)来实现。这种方法允许开发者在不修改原始函数代码的情况下,动态地改变函数的行为。...
VB6通用InLineHook技术实现与源码解析
标题中提到的 "Vb6 InLineHook(通用版)" 指的是一种在Visual Basic 6.0(简称VB6)环境下开发的程序,这种程序使用了 Inline Hook 技术。首先需要了解的是,API Hook(应用程序编程接口钩子)是一种编程技术,允许...
详谈内核三步走Inline Hook实现
xiaoqiangvs007的专栏
04-22 2056
标 题: 【原创】详谈内核三步走Inline Hook实现 作 者: 竹君 时 间: 2009-09-25,18:52:40 链 接: http://bbs.pediy.com/showthread.php?t=98493 本文以发表在黑防09期 详谈内核三步走Inline Hook实现 (一)Inline hook原理 Inline hook通俗的说就是对函数执行流
python爬虫.7zpython爬虫.7z
最新发布
08-12
python爬虫.7z
价值投资的经典指南:《证券分析》第六版解析
08-12
《证券分析》第六版是价值投资领域的经典之作,由本杰明·格雷厄姆和大卫·多德合著。本书不仅回顾了1934年首次出版时的理论框架,还结合现代金融市场进行了深入探讨。书中涵盖了从基本概念到具体应用的广泛内容,包括内在价值的概念、定量与定性分析、投资与投机的区别等。第六版新增了许多当代顶尖价值投资者的评论文章,为读者提供了宝贵的实际操作经验和市场洞见。此外,书中还详细讨论了固定收益投资、优先股和其他高级证券的选择标准,并强调了信息来源的重要性。通过对历史案例的分析,本书帮助读者理解如何在不确定的市场环境中做出明智的投资决策。
硬件开发教程.7z硬件开发教程.7z
08-12
硬件开发教程.7z
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值